Identitäts- und Zugriffsverwaltung für SAP
Dieser Artikel baut auf mehrere Überlegungen und Empfehlungen auf, die im Artikel Entwurfsbereich der Azure-Zielzone für Identitäts- und Zugriffsverwaltung definiert sind. In diesem Artikel werden die Empfehlungen zur Identitäts- und Zugriffsverwaltung für die Bereitstellung einer SAP-Plattform in Microsoft Azure beschrieben. SAP ist eine unternehmenskritische Plattform, daher sollten Sie in Ihren Entwurf die Anleitungen zu den Entwurfsbereichen für Azure-Zielzonen einbeziehen.
Überlegungen zum Entwurf
Überprüfen Sie die erforderlichen Azure-Administrations- und Verwaltungsaktivitäten für Ihr Team. Sehen Sie sich Ihre „SAP in Azure“-Landschaft an. Ermitteln Sie die bestmögliche Verteilung der Zuständigkeiten innerhalb Ihres Unternehmens.
Vergleichen Sie die Grenzen der Azure-Ressourcenverwaltung mit den Grenzen der SAP Basis-Verwaltung, die jeweils für die Infrastruktur- und SAP Basis-Teams gelten. Erwägen Sie, für das SAP Basis-Team in einer SAP-Umgebung, die nicht für die Produktion bestimmt ist, erhöhte Zugriffsrechte für die Azure-Ressourcenverwaltung zu gewähren. Erteilen Sie beispielsweise die Rolle Mitwirkender für virtuelle Computer. Darüber hinaus können Sie auch teilweise erhöhte Zugriffsrechte für die Verwaltung in einer Produktionsumgebung gewähren, z. B. einen Teil der Berechtigungen der Rolle „Mitwirkender für virtuelle Computer“. Mit beiden Optionen wird eine gute Balance zwischen der Aufgabentrennung und der betrieblichen Effizienz erzielt.
Für zentrale IT- und SAP Basis-Teams sollten Sie Privileged Identity Management (PIM) und die Multi-Faktor-Authentifizierung verwenden, um über das Azure-Portal und die zugrunde liegende Infrastruktur auf SAP Virtual Machine-Ressourcen zuzugreifen.
Im Folgenden finden Sie häufige Azure-Administrations- und Verwaltungsaktivitäten:
Azure-Ressource | Azure-Ressourcenanbieter | activities |
---|---|---|
Virtuelle Computer | Microsoft.Compute/virtualMachines | Starten, Beenden, Neustarten, Aufheben der Zuordnung, Bereitstellen, Erneutes Bereitstellen, Durchführen von Änderungen, Ändern der Größe, Erweiterungen, Verfügbarkeitsgruppen, Näherungsplatzierungsgruppen |
Virtuelle Computer | Microsoft.Compute/disks | Lese- und Schreibzugriff auf Datenträger |
Storage | Microsoft.Storage | Lesen, Durchführen von Änderungen in Speicherkonten (z. B. Startdiagnose) |
Storage | Microsoft.NetApp | Lesen, Durchführen von Änderungen in NetApp-Kapazitätspools und -Volumes |
Storage | Microsoft.NetApp | ANF: Momentaufnahmen |
Storage | Microsoft.NetApp | ANF: Regionsübergreifende Replikation |
Netzwerk | Microsoft.Network/networkInterfaces | Lesen, Erstellen und Ändern von Netzwerkschnittstellen |
Netzwerk | Microsoft.Network/loadBalancers | Lesen, Erstellen und Ändern von Lastenausgleichsmodulen |
Netzwerk | Microsoft.Network/networkSecurityGroups | Lesezugriff auf Netzwerksicherheitsgruppen |
Netzwerk | Microsoft.Network/azureFirewalls | Lesezugriff auf Firewall |
Wenn Sie SAP Business Technology Platform (BTP)-Dienste verwenden, sollten Sie die Prinzipalweitergabe verwenden, um eine Identität aus der SAP BTP-Anwendung mithilfe des SAP Cloud Connectors an Ihre SAP-Landschaft weiterzuleiten.
Erwägen Sie den Microsoft Entra-Bereitstellungsdienst zum automatischen Bereitstellen und Aufheben der Bereitstellung von Benutzer*innen und Gruppen für SAP Analytics Cloud und SAP Identity Authentication.
Beachten Sie, dass eine Migration zu Azure eine Möglichkeit sein kann, die Prozesse der Identitäts- und Zugriffsverwaltung zu überprüfen und neu auszurichten. Überprüfen Sie die Prozesse in Ihrer SAP-Landschaft und die Prozesse auf Ihrer Unternehmensebene:
- Überprüfen Sie die SAP-Richtlinien zum Sperren von inaktiven Benutzern.
- Überprüfen Sie die SAP-Richtlinie für Benutzerkennwörter, und passen Sie sie an Microsoft Entra ID an.
- Überprüfen Sie die Verfahren für Kündigungen, Stellenwechsel und Neueinstellungen (Leavers, Movers and Starters, LMS), und passen Sie diese an Microsoft Entra ID an. Falls Sie SAP Human Capital Management (HCM) nutzen, wird der LMS-Prozess wahrscheinlich über SAP HCM gesteuert.
Erwägen Sie die Bereitstellung von Benutzer*innen aus SuccessFactors Employee Central in Microsoft Entra ID mit optionalem Rückschreiben der E-Mail-Adresse in SuccessFactors.
Schützen Sie die NFS-Kommunikation (Network File System) zwischen Azure NetApp Files und Azure Virtual Machines per NFS-Clientverschlüsselung mit Kerberos. Azure NetApp Files unterstützt sowohl Active Directory Domain Services (AD DS) als auch Microsoft Entra Domain Services für Microsoft Entra-Verbindungen. Informieren Sie sich über die Leistungsauswirkungen von Kerberos auf NFS v4.1.
SAP Identity Management (IDM) lässt sich mithilfe der Bereitstellung von SAP-Cloudidentitäten als Proxydienst in Microsoft Entra ID integrieren. Betrachten Sie Microsoft Entra ID als zentrale Datenquelle für Benutzer*innen, die SAP IDM verwenden. Schützen Sie die Network File System (NFS)-Kommunikation zwischen Azure NetApp Files und Azure Virtual Machines per NFS-Clientverschlüsselung mit Kerberos. Azure NetApp Files erfordern entweder eine AD DS- oder Microsoft Entra Domain Services-Verbindung für die Kerberos-Ticketerstellung. Informieren Sie sich über die Leistungsauswirkungen von Kerberos auf NFS v4.1.
Schützen Sie Verbindungen vom Typ „Remotefunktionsaufruf“ (Remote Function Call, RFC) zwischen SAP-Systemen per Secure Network Communications (SNC), indem Sie geeignete Schutzebenen verwenden, z. B. Qualität des Schutzes (Quality of Protection, QoP). SNC-Schutz ist mit höherem Leistungsaufwand verbunden. Als Schutz der RFC-Kommunikation zwischen den Anwendungsservern desselben SAP-Systems empfiehlt SAP die Verwendung von Netzwerksicherheit anstelle von SNC. Die folgenden Azure-Dienste unterstützen SNC-geschützte RFC-Verbindungen mit einem SAP-Zielsystem: Anbieter von Azure Monitor für SAP-Lösungen, die selbstgehostete Integration Runtime in Azure Data Factory und das lokale Datengateway bei Power BI, Power Apps, Power Automate, Azure Analysis Services und Azure Logic Apps. SNC ist erforderlich, um in diesen Fällen einmaliges Anmelden (Single Sign-On, SSO) zu konfigurieren.
Entwurfsempfehlungen
Implementieren Sie das einmalige Anmelden mithilfe von Windows AD, Microsoft Entra ID oder AD FS, je nach Zugriffstyp, damit die Endbenutzer*innen eine Verbindung mit SAP-Anwendungen ohne Benutzer-ID und Kennwort herstellen können, sobald sie vom zentralen Identitätsanbieter erfolgreich authentifiziert wurden.
- Implementieren Sie das einmalige Anmelden für SAP-SaaS-Anwendungen, z. B. SAP Analytics Cloud, SAP Cloud Platform, Business by Design, SAP Qualtrics und SAP C4C mit Microsoft Entra ID per SAML.
- Implementieren Sie Webanwendungen, die auf SSO für SAP NetWeaver basieren, z. B. SAP Fiori und SAP Web GUI per SAML.
- Sie können SSO für die SAP GUI implementieren, indem Sie SAP NetWeaver SSO oder eine Partnerlösung verwenden.
- Implementieren Sie für SSO für SAP GUI- und Webbrowserzugriff SNC – Kerberos/SPNEGO (einfacher und geschützter GSSAPI-Verhandlungsmechanismus), da dieser einfach zu konfigurieren und zu warten ist. Ziehen Sie für einmaliges Anmelden mit X.509-Clientzertifikaten den SAP Secure Login Server, der eine Komponente der SAP SSO-Lösung ist, in Betracht.
- Implementieren Sie einmaliges Anmelden mithilfe von OAuth für SAP NetWeaver, um Drittanbietern oder benutzerdefinierten Anwendungen den Zugriff auf SAP NetWeaver OData-Dienste zu ermöglichen.
- Implementieren des einmaligen Anmeldens in SAP HANA
Ziehen Sie Microsoft Entra ID als Identitätsanbieter für SAP-Systeme, die in RISE gehostet werden, in Betracht. Weitere Informationen finden Sie unter Integrieren des Diensts in Microsoft Entra ID.
Für Anwendungen, die auf SAP zugreifen, sollten Sie die Prinzipalweitergabe verwenden, um einmaliges Anmelden einzurichten.
Wenn Sie SAP BTP-Dienste oder SaaS-Lösungen verwenden, die SAP Identity Authentication Service (IAS) erfordern, sollten Sie die Implementierung des einmaligen Anmeldens zwischen SAP Cloud Identity Authentication Services und Microsoft Entra ID für den Zugriff auf diese SAP-Dienste in Betracht ziehen. Mit dieser Integration kann SAP IAS als Proxyidentitätsanbieter fungieren und Authentifizierungsanforderungen an Microsoft Entra ID als zentralen Benutzerspeicher und Identitätsanbieter weiterleiten.
Wenn Sie SAP SuccessFactors verwenden, sollten Sie die automatisierte Benutzerbereitstellung von Microsoft Entra ID in Betracht ziehen. Mit dieser Integration können Sie beim Hinzufügen neuer Mitarbeiter*innen zu SAP SuccessFactors automatisch die zugehörigen Benutzerkonten in Microsoft Entra ID erstellen. Optional können Sie Benutzerkonten in Microsoft 365 oder anderen SaaS-Anwendungen erstellen, die von Microsoft Entra ID unterstützt werden. Verwenden Sie das Zurückschreiben der E-Mail-Adresse in SAP Success Factors.